Submitted by Akira on 2009, June 1, 3:57 PM
根据shellcode进行以下分析
1. shellcode有效时间限制,当发现系统时间迟于shellcode中保存的一个固定时间时,直接ExitThread。这应该是flash网马生成器发布者所做的,可能出于商业考虑,避免别人通过简单修改病毒URL地址而生成自己的利用文件。
2. 从kernel32.dll的输入表中取ZwCreateProcessEx(win2000时为NtCreateProcess)、 ZwWriteVirtualMemory的地址,对这两处地址进行inline hook,hook到自身保存的相应的原始代码中,并对CreateProcessInternalW的前面几个字节进行了inline hook的还原。
这些操作都是针对MAXTHON等使用以上API HOOK方式对游览器进行执行保存的措施而出台的anti方式。虽然这种方法早已被提出,是大家皆知的,但是在以前的网马应用中,由于可用的缓冲区并不是 那么大,不适于加入这些额外的代码,因此我一直没有看到还原hook过浏览器保护方法的实际利用。而在这次,我终于看到了一个实际利用的例子。
3. 使用CreateProcessInternalA进行最后下载到本机的病毒文件的执行。以前一般的shellcode是用WinExec。
下面是shellcode执行流程的分析,分析基本在注释当中....
» 阅读全文
Tags: flash漏洞, flash, 漏洞分析
漏洞信息 | 评论:0
| Trackbacks:0
| 阅读:132
Submitted by Akira on 2009, May 29, 11:41 PM
DedeCMSV53发布了,但是依旧没有将变量覆盖漏洞彻底修补。这个漏洞和ryat那个很相似 :)
看核心文件include/common.inc.php中的代码
» 阅读全文
Tags: dedecms, 漏洞, vul
漏洞信息 | 评论:0
| Trackbacks:0
| 阅读:155
Submitted by Akira on 2009, May 27, 6:11 PM
Affected products :
- Firefox all supporting SVG (didn't care to investigate which, task of the vendor)
- all software packages using mozilla engine and allowing SVG
I. Background
~~~~~~~~~~~~
Firefox is a popular internet browser.
II. Description
» 阅读全文
Tags: mozilla firefox, exploits
漏洞信息 | 评论:0
| Trackbacks:0
| 阅读:134
Submitted by Akira on 2009, May 27, 6:04 PM
A bug was discovered in the way FreeBSD, OS X and Solaris (prior version 10) handle symlinks appended with a slash (/).
Accessing a regular file through a symbolic link with appended slash succeeds because the slash apperently gets silently dropped.
On systems that do not expose this behaviour, a call to stat("symlink.php/") or open("symlink.php/") to a symlink
pointing to example.php, will not succeed and set errno to ENOTDIR. This is not the case on the systems mentioned.
» 阅读全文
Tags: lighttpd, bsd, solaris bug
漏洞信息 | 评论:0
| Trackbacks:0
| 阅读:141
Submitted by Akira on 2009, May 27, 6:00 PM
#!/usr/bin/ruby
#
# Quick-n-dirty PoC for APPLE-SA-2009-05-12 ala CVE-2008-3529
# Safari RSS feed:// buffer overflow via libxml2 by KF of Digitalmunition and Netragard
# http://www.digitalmunition.com , http://www.netragard.com
» 阅读全文
Tags: safari, exploit poc
漏洞信息 | 评论:0
| Trackbacks:0
| 阅读:139
Submitted by Akira on 2009, May 23, 7:23 AM
Windows 7 RC测试版才正式向公众开放短短半个月时间,恶意软件就又一次走在了安全技术的前面。本周安全人员公开了首个能够攻击Windows 7的Rootkit恶意软件的源代码,这个名为Vrootkit 2.0的Rootkit目前只能通过钩挂系统底层的13号中断,绕过系统自带的访问控制功能。严格的说Vrootkit 2.0还不能算是一个功能完整的Rootkit,不过恶意软件作者显然很容易将Vrootkit的功能集成到自己的恶意软件去,并用于攻击用户。
» 阅读全文
Tags: adobe, windows7, rootkit, microsoft
业界资讯 | 评论:0
| Trackbacks:0
| 阅读:165
Submitted by Akira on 2009, May 22, 7:38 PM
TPL 属于静态正则表达式库。TPL 全称为 Text Processing Library(文本处理库)。spirit、xpressive 是很好的东西,实现 TPL 库中对这两者有所借鉴。说起来开发 TPL 库的理由看起来挺好笑的:原因是 spirit、xpressive 太慢。不是执行慢,而是编译慢。
» 阅读全文
Tags: c++, regex
数据编程 | 评论:0
| Trackbacks:0
| 阅读:138
Submitted by Akira on 2009, May 22, 4:15 PM
Oracle 11g现在把在SecureFile LOB中存储敏感信息放在非常重要的战略位置,因为这样才能够证明在Oracle 10gR2中推出的透明数据加密(TDE)的作用,TDE在列级提供了遵循工业标准的自动加密算法(如3DES168,AES128,AES192和 AES256)。
1、开启透明数据加密
2、控制SecureFile加密
3、改变SecureFile加密算法或加密密钥
» 阅读全文
Tags: oracle, database, 数据库
数据编程 | 评论:0
| Trackbacks:0
| 阅读:161
